英国ICOのこどもの情報利用ガイド(逐条訳)

こんにちは！

来週で、7月も終わり。
今月は「こども」を守るの規範はどうあるべきなのか？を考えることが多かった月でした。

今日は、その過程で興味を持った、英国ICO（Information Commissioner’s Office）がこどもに関する情報について、複数のガイダンスを公表しているものから、その一部を逐条訳しながら見てみたいと思います。

「こども」の情報論点、あちこちで

振り返ってみると、今月は、こどもの情報に関連するテーマで、３つの視点でnoteを書いていました。

①個人情報保護法の3年ごと見直しの「中間整理」に「こども」の規範案

有識者8人のこどもの規範に対する意見は、その保護の重要性という視点では共通しているものの、その規範の在り方については、だいぶ意見が異なることがわかりました。

諸外国に足並みを揃えて個人情報保護法に法令を追加するべきという意見、ガイドラインにとどめるべきという意見、個人情報保護法ではない法律で定めるべきという意見、一律一定年齢以下に親の同意は形式的で意味があるのかという意見、というように様々です。

②総務省で検討中の新しいスマートフォン利用者情報の取扱指針
〜英国Children's Codeなどを参考にした望ましい対応

今年度、改訂公表される予定の総務省のアプリに限定した利用者情報の指針には、親の同意の視点のみならず、こども向けサービスの開発時点で、こどもの視点を設計に盛り込むこと、こども向けにわかりやすいプラポリ、ターゲティング広告の禁止などを望ましい対応としています。

③先日の教育アプリの報道
何を識者は問題としたのか？それは現行法で違反なのか？を考えた

義務教育の場面で、地方公共団体が、こどもに教育アプリを提供する場合、民間事業者のサービスを利用する際の配慮について、議論になった件です。

これらをみてきて、今、「こども」の規範について、個人情報の取扱いだけに着目して決めてしまっていいのか？といういう疑問がわいてきています。

例えば、契約は18歳だけど、同意は16歳？、
ターゲティング広告やプロファイリングなど今日的な論点は？、一律親の同意必須とするのは、こどもの権利はその年齢はないということ？、などなど…

このデジタル社会、スマホ社会において、「こども」をどんなことから守るべきなのか、尊重すべきなのか？個人情報保護委員会のみならず、総務省、文科省、経産省、こども家庭庁、消費者庁で、省庁横断で議論し、日本国共通で「こども✖️デジタル社会におけるおやくそく」、を決めるべきではないか？

また、それは商業的な場面、教育の場面で共通なのか？の検討の上で、どの法律やガイドラインで整理するべきなのか？、ルールの設計図が必要ではないか？

でも、この分野に多くの知見をもっているわけではありません。。。

海外はどうなんだろう？

ということで、今日は②のnoteでも一部紹介した英国のICOが公表しているガイドラインを、機械翻訳しながら見てみたいと思います。

（なお、私自身は、英国法や英国実務の専門家ではありません。HPに公表されている資料のみから、個人的な考察を加えるものである点にご了承
ください。）

---

英国ICOの「こどもの情報」のガイドライン

発行主体

ガイドラインを出している英国ICOは、日本でいえば、個人情報保護委員会に該当する英国政府の組織です。

Who we are？
The ICO exists to empower you through information. Find out more about our organisation and structure.

https://ico.org.uk/about-the-ico/who-we-are/

一方、その守備範囲をみると、アドテクなどデジタル広告、市場競争や通信、経済分野との横断のデジタル政策調整、AIのガバナンスやオンラインにおけるこどもの情報の安全確保など、日本の個人情報保護委員会より守備範囲は広い印象です。

今回は、この中で、世界に先駆けた安全規範として紹介されているオンラインでのこどもの情報に関するガイドです。

---

位置づけ

「こどもの情報」(Children's Information) のガイドは、ICOの事業者向けコンテンツにおいて、UK GDPR（英国内で適用されるパーソナルデータ*の法令）に関するガイドの中のひとつに位置づけられています。

*パーソナルデータ≒(日本の)個人データ:
日本よりその範囲は広く、Cookie、IDFAなど個人を識別できなくても誰かひとりのデータを含む

https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/

Children‘s Information(こどもの情報)の説明として、
どのようにこどもの情報を守るか？、オンラインサービスプロバイダのための対象年齢に沿ったデザインコードと情報源、と紹介されています。

---

Children‘s Information(こどもの情報)

こちらが、こどもの情報のページ。

Children's information

紹介されているコンテンツは以下の４つです。

今回は、簡潔なガイダンスとして紹介されている、一番最初のこどもの情報の使用に関するガイドを　機械翻訳で見てみたいと思います。

⚫︎簡潔なガイダンス
　・こどもの情報の使用に関するガイド　→今回の対象
- こども向けマーケティング、自動意思決定とプロファイリング、こどもの情報の共有、こどものデータ保護権利

⚫︎詳細なガイダンス
・チルドレンズコード　→総務省の検討で紹介されているもの
- こどもがアクセスする可能性のあるオンラインサービスの提供者向けに、年齢に適したデザインコード。15の基準に関するガイダンスやリソース、よくある質問、DPIA、デザイナー向けリソースを含む。

・こどもとUK GDPR
こども向け情報社会サービス（オンラインサービス）の提供、こども向けマーケティング、こどもに対する自動意思決定、こどものデータの共有、こどものデータ保護権利

⚫︎リソース
・学校や教師向けの授業計画とリソース
プライバシー問題と個人情報の価値について話し合う際に教師が使用できる学校向けリソース。個人情報とは何か、なぜそれが価値があるのか、ソーシャルメディアを使用する際にそれをどのように安全に保つかの授業計画を含む

---

---

★★Using children's information: a guide★★（こどもの情報の使用に関するガイド）

それでは、このページを翻訳しながら見ていきます。

Using children's information: a guide

その構成は
　●一目でわかる要点
　●チェックリスト
　●一問一答
というつくりで、いずれも短文で簡潔に説明されています。

---

●At a glance(一目でわかる要点)

- **Children need particular protection when you are collecting and processing their personal data because they may be less aware of the risks involved.**
- こどもは関与するリスクについて認識が低い可能性があるため、その個人データを収集・処理する際には特別な保護が必要です。

(memo: 「認識」が低い→ 中間整理のこどもの年齢基準での板倉先生のコメントに、「意思」能力と「行為」能力の基準は異なるとの指摘がありました。「中間整理」のこどもの規範考え方記述には、具体的にどんな脆弱性か記載がありませんでした。英国ICOのこの箇所は、「認識（aware)」とあるので、こどもに「伝える」際に注意が必要ということですね」

- **If you process children’s personal data then you should think about the need to protect them from the outset, and design your systems and processes with this in mind.**
- こどもの個人データを処理する場合、最初から保護の必要性を考慮し、システムやプロセスを設計する必要があります。


- **Compliance with the data protection principles and in particular fairness should be central to all your processing of children’s personal data.**
- データ保護の原則、特に公平性の遵守がこどもの個人データ処理の中心となるべきです。


- **You need to have a lawful basis for processing a child’s personal data. Consent is one possible lawful basis for processing, but it is not the only option. Sometimes using an alternative basis is more appropriate and provides better protection for the child.**
- こどもの個人データを処理するには、合法的な根拠が必要です。同意は合法的な根拠の一つですが、それだけではありません。場合によっては、別の根拠を使用する方が適切であり、こどもに対するより良い保護を提供します。

(memo:日本と異なり、UKGDPRでは個人データの処理に合法的な根拠(複数からどれか)が必要です)

- **If you are relying on consent as your lawful basis for processing, when offering an online service directly to a child, in the UK only children aged 13 or over are able to provide their own consent.**
- 処理の合法的な根拠として同意に依存する場合、こどもに直接オンラインサービスを提供する際、英国では13歳以上のこどものみが自ら同意を提供できます。

(memo:日本の個情法の中間整理案では16歳以上でした。13歳〜15歳中学生の取り扱いが異なりますね)

- **For children under this age you need to get consent from whoever holds parental responsibility for the child - unless the online service you offer is a preventive or counselling service.**
- この年齢未満のこどもには、保護者の同意を得る必要があります。ただし、提供するオンラインサービスが予防的またはカウンセリングサービスである場合は除きます。

(memo: ここで除外されている予防的またはカウンセリングサービスとは、健康診断や検診などを指すようです。）

**However, more general health, fitness or wellbeing apps or services are covered.**
**ただし、より一般的な健康、フィットネス、またはウェルビーイングのアプリやサービスは対象となります。**)

- **Children merit specific protection when you use their personal data for marketing purposes or creating personality or user profiles.**
- マーケティング目的やパーソナリティやユーザープロファイルの作成のためにこどもの個人データを使用する場合、こどもは特別な保護を受けるべきです。

(memo: 例えば、こども向けにプロファイリングを行なって広告を送付するようなことと想定されます)

- **You should not usually make decisions based solely on automated processing about children if this will have a legal or similarly significant effect on them.**
- 法的または同様に重大な影響を与える場合、通常はこどもに関する決定を自動処理のみに基づいて行うべきではありません。

(memo:日本では、（成年向けも含めて）この自動処理のみに基づく意思決定の規定がありません）

- **You should write clear privacy notices for children so that they are able to understand what will happen to their personal data, and what rights they have.**
- こどもが自分の個人データに何が起こるのか、どのような権利を持っているのかを理解できるように、明確なプライバシー通知を書くべきです。

(memo:この点、総務省の指針案に記載がありますが、個人情報保護委員会の考え方にはありませんでした。　個人的には、この観点は、GLに入れてもよいように思います。）

- **Children have the same rights as adults over their personal data. These include the rights to access their personal data; request rectification; object to processing and have their personal data erased.**
- こどもは自分の個人データに関して大人と同じ権利を持っています。これには、個人データへのアクセス権、訂正を要求する権利、処理に異議を唱える権利、個人データを削除させる権利が含まれます。

(memo: 今回の中間整理では、法定代理人の同意・通知を明確化が強調されていたものの、こどもも権利を持つということの記載がありませんでした。
法の骨子からすれば、こどもでも「個人の権利」は確保されるべきで、親はそれを補助する立場であるとするのが自然と思います。)

- **An individual’s right to erasure is particularly relevant if they gave their consent to processing when they were a child.**
- 個人のデータ削除の権利は、こどもの時に処理に同意した場合に特に関連があります。

(memo: こどもの時に同意し提供したデータを大人になった後、削除したくなるケースが多いことを示唆？)

---

●Checklists チェックリスト

○General 一般事項

- ☐ We comply with all the requirements of the UK GDPR, not just those specifically relating to children and included in this checklist.
- 私たちは、このチェックリストに含まれるこどもに特有の要件だけでなく、UK GDPRのすべての要件を遵守します。

- ☐ We design our processing with children in mind from the outset, and use a data protection by design and by default approach.
- 最初からこどもを考慮して処理を設計し、byデザインおよびbyデフォルトによるデータ保護アプローチを使用します。

- ☐ We make sure that our processing is fair and complies with the data protection principles.
- 私たちの処理が公正であり、データ保護の原則に従っていることを確認します。

- ☐ As a matter of good practice, we use DPIAs to help us assess and mitigate the risks to children.
- 望ましい実践として、DPIA（データ保護影響評価）を使用してこどもに対するリスクを評価し軽減します。

- ☐ If our processing is likely to result in a high risk to the rights and freedom of children then we always do a DPIA.
- こどもの権利と自由に高いリスクをもたらす可能性がある場合、必ずDPIAを実施します。

- ☐ As a matter of good practice, we take children’s views into account when designing our processing.
- 望ましい実践として、処理を設計する際にこどもの視点を考慮します。

○Bases for processing a child’s personal data こどもの個人データ処理の根拠

- ☐ When relying on consent, we make sure that the child understands what they are consenting to, and we do not exploit any imbalance of power in the relationship between us.
- 同意に依存する場合、こどもが何に同意しているのかを理解していることを確認し、私たちとの関係における力の不均衡を利用しません。

(memo: 理解できないことがわかっていながら、形式的な同意を得ていることをもって、悪用しないという意図？)

- ☐ When relying on ‘necessary for the performance of a contract’, we consider the child’s competence to understand what they are agreeing to, and to enter into a contract.
- 契約の履行に必要とする場合、こどもが何に同意しているのかを理解し、契約を結ぶ能力を考慮します。

(memo: GDPRでは、処理の法的根拠として、契約の履行のためとすることが可能)

- ☐ When relying upon ‘legitimate interests’, we take responsibility for identifying the risks and consequences of the processing, and put age appropriate safeguards in place.
- 正当な利益に依存する場合、処理のリスクと結果を特定する責任を負い、年齢に適した保護措置を講じます。

(memo: GDPRでは、処理の法的根拠として、正当な利益のためとすることが可能)

○Offering an information Society Service (ISS) directly to a child, on the basis of consent こどもに対して同意を基に情報社会サービス（ISS）を直接提供する場合

- ☐ If we decide not to offer our ISS (online service) directly to children, then we mitigate the risk of them gaining access, using measures that are proportionate to the risks inherent in the processing.
- こどもに対してISS（オンラインサービス）を直接提供しないと決定した場合、処理に内在するリスクに比例した措置を用いて、こどもがアクセスするリスクを軽減します。


- ☐ When offering ISS to UK children on the basis of consent, we make reasonable efforts (taking into account the available technology and the risks inherent in the processing) to ensure that anyone who provides their own consent is at least 13 years old.
- 同意を基に英国のこどもにISSを提供する場合、利用可能な技術と処理に内在するリスクを考慮して、自ら同意を提供する者が少なくとも13歳であることを確実にするために合理的な努力を行います。

- ☐ When offering ISS to UK children on the basis of consent, we obtain parental consent to the processing for children who are under the age of 13, and make reasonable efforts (taking into account the available technology and risks inherent in the processing) to verify that the person providing consent holds parental responsibility for the child.
- 同意を基に英国のこどもにISSを提供する場合、13歳未満のこどもの処理について保護者の同意を得、利用可能な技術と処理に内在するリスクを考慮して、同意を提供する者がこどもの保護者であることを確認するために合理的な努力を行います。

- ☐ When targeting international markets, we comply with the age limits applicable in each country.
- 国際市場を対象とする場合、各国で適用される年齢制限を遵守します。

- ☐ We regularly review available age verification and parental responsibility verification mechanisms to ensure we are using appropriate current technology to reduce risk in the processing of children’s personal data.
- 利用可能な年齢確認および保護者責任確認メカニズムを定期的に見直し、こどもの個人データ処理におけるリスクを軽減するために適切な最新技術を使用していることを確認します。

- ☐ We don’t seek parental consent when offering online preventive or counselling services to a child.
- こどもにオンラインの予防的またはカウンセリングサービスを提供する場合、保護者の同意を求めません。

○Marketing マーケティング

- ☐ When considering targeting marketing at children we take into account their reduced ability to recognise and critically assess the purposes behind the processing and the potential consequences of providing their personal data.
- こどもを対象としたターゲティング広告を検討する際、処理の背後にある目的と個人データ提供の潜在的な結果を認識し批判的に評価する能力が低いことを考慮します。

(memo: 批判的に評価する能力が低い→信じてしまいやすい、(誇大）広告に踊らされてしまいやすいということ？)


- ☐ We take into account sector specific guidance on marketing, such as that issued by the Advertising Standards Authority, to make sure that children’s personal data is not used in a way that might lead to their exploitation.
- 広告標準局が発行するものなど、セクターごとのマーケティングガイダンスを考慮し、こどもの個人データが搾取につながる方法で使用されないようにします。

- ☐ We stop processing a child’s personal data for the purposes of direct marketing if they ask us to.
- こどもが要求した場合、ダイレクトマーケティング目的でのこどもの個人データの処理を停止します。

- ☐ We comply with the direct marketing requirements of the Privacy and Electronic Communications Regulations (PECR).
- プライバシーおよび電子通信規則（PECR）のダイレクトマーケティング要件を遵守します。

(memo: 日本ではいえば、特電法、特商法、電子商取引の準則などのマーケティング関係の規範が該当しそうです。)

○Solely automated decision making (including profiling) 完全自動化された意思決定（プロファイリングを含む）

- ☐ We don’t usually use children’s personal data to make solely automated decisions about them if these will have a legal, or similarly significant effect upon them.
- こどもに法的または同様に重大な影響を与える場合、通常はこどもの個人データを使用して完全に自動化された意思決定を行いません。

- ☐ If we do use children’s personal data to make such decisions then we make sure that one of the exceptions in Article 22(2) applies and that suitable, child appropriate, measures are in place to safeguard the child’s rights, freedoms and legitimate interests.
- こどもの個人データを使用してそのような決定を行う場合、第22条第2項の例外のいずれかが適用され、こどもの権利、自由、および正当な利益を保護するための適切でこどもにふさわしい措置が講じられていることを確認します。

- ☐ In the context of behavioural advertising, when deciding whether a solely automated decision has a similarly significant effect upon a child, we take into account: the choices and behaviours that we are seeking to influence; the way in which these might affect the child; and the child’s increased vulnerability to this form of advertising; using wider evidence on these matters to support our assessment.
- ターゲティング広告の文脈において、完全に自動化された意思決定がこどもに同様に重大な影響を与えるかどうかを判断する際には、私たちが影響を与えようとしている選択や行動、これらがこどもに与える可能性のある影響、およびこの形式の広告に対するこどもの脆弱性の増加を考慮し、これらの問題に関する広範なエビデンスを使用して評価を支援します。

- ☐ We stop any profiling of a child that is related to direct marketing if they ask us to.
- こどもが要求した場合、ダイレクトマーケティングに関連するこどものプロファイリングを停止します。

○Data Sharing データ共有

- ☐ We follow the approach in the ICO’s Data Sharing Code of Practice.
- 私たちは、ICOのデータ共有実践規範のアプローチに従います。

○Privacy notices プライバシー通知

- ☐ Our privacy notices are clear, and presented in plain, age-appropriate language.
- 私たちのプライバシー通知は明確で、わかりやすく、年齢に適した言葉で表現されています。

(memo: プライバシーポリシーや利用規約での個人情報取り扱いの説明をわかりやすくは、サービス・アプリの内容によって検討した方がよさそうですね)

- ☐ We use child friendly ways of presenting privacy information, such as: diagrams, cartoons, graphics and videos, dashboards, layered and just-in-time notices, icons and symbols.
- プライバシー情報をこどもにやさしい方法で提示します。例えば、図、漫画、グラフィックやビデオ、ダッシュボード、階層化された通知とジャストインタイム通知、アイコンとシンボルなどを使用します。

- ☐ We explain to children why we require the personal data we have asked for, and what we will do with it, in a way which they can understand.
- こどもが理解できる方法で、なぜ個人データが必要なのか、そしてそれをどう扱うのかを説明します。

- ☐ As a matter of good practice, we explain the risks inherent in the processing, and how we intend to safeguard against them, in a child friendly way, so that children (and their parents) understand the implications of sharing their personal data.
- 望ましい実践として、処理に内在するリスクとそれに対する保護措置をこどもにやさしい方法で説明し、こども（およびその保護者）が個人データを共有することの意味を理解できるようにします。

- ☐ We tell children what rights they have over their personal data in language they can understand.
- こどもが理解できる言葉で、自分の個人データに対してどのような権利を持っているかを伝えます。

○The child’s data protection rights こどものデータ保護権利

- ☐ We design the processes by which a child can exercise their data protection rights with the child in mind, and make them easy for children to access and understand.
- こどもがデータ保護権利を行使できるプロセスを、こどもを考慮して設計し、こどもがアクセスしやすく理解しやすいものにします。

- ☐ We allow competent children to exercise their own data protection rights.
- 能力のあるこどもが自分のデータ保護権利を行使できるようにします。

- ☐ If our original processing was based on consent provided when the individual was a child, then we comply with requests for erasure whenever we can.
- 元の処理がこどものときに提供された同意に基づいていた場合、削除の要求に可能な限り応じます。

- ☐ We design our processes so that, as far as possible, it is as easy for a child to get their personal data erased as it was for them to provide it in the first place.
- 可能な限り、こどもが最初に個人データを提供したときと同じくらい簡単にデータを削除できるように、プロセスを設計します。

---

●In brief（一問一答）

Q)What's new? （新着情報は何？）

**A child’s personal data merits particular protection under the UK GDPR.**
**こどもの個人データは、UK GDPRの下で特別な保護が必要です。**

**If you rely on consent as your lawful basis for processing personal data when offering an ISS directly to children, in the UK only children aged 13 or over are able provide their own consent. You may therefore need to verify that anyone giving their own consent in these circumstances is old enough to do so. For children under this age you need to get consent from whoever holds parental responsibility for them - unless the ISS you offer is an online preventive or counselling service. You must also make reasonable efforts (using available technology) to verify that the person giving consent does, in fact, hold parental responsibility for the child.**
ISS（オンラインサービス）をこどもに直接提供する際に、合法的な根拠として同意を依存する場合、英国では13歳以上のこどものみが自ら同意を提供できます。そのため、この状況で自ら同意を提供する者が十分な年齢であることを確認する必要があります。13歳未満のこどもには保護者の同意を得る必要があります。ただし、提供するISSがオンラインの予防またはカウンセリングサービスである場合を除きます。また、同意を提供する者が実際に保護者であることを確認するために、利用可能な技術を使用して合理的な努力を行う必要があります。

**Children also merit specific protection when you are collecting their personal data and using it for marketing purposes or creating personality or user profiles.**
**こどもの個人データを収集し、マーケティング目的やパーソナリティやユーザープロファイルの作成に使用する場合にも、特別な保護が必要です。**

**You should not usually make decisions about children based solely on automated processing if this will have a legal or similarly significant effect on them. The circumstances in which the UK GDPR allows you to make such decisions are limited and only apply if you have suitable measures to protect the interests of the child in place.**
**こどもに法的または同様に重大な影響を与える場合、通常は完全自動処理のみに基づいてこどもに関する決定を行うべきではありません。UK GDPRがそのような決定を許可する状況は限られており、こどもの利益を保護するための適切な措置が講じられている場合にのみ適用されます。**

**You must write clear and age-appropriate privacy notices for children.**
**こども向けに明確で年齢に適したプライバシー通知を作成する必要があります。**

**The right to have personal data erased is particularly relevant when the individual gave their consent to processing when they were a child.**
**個人データを削除する権利は、こどもが処理に同意した場合に特に関連性があります。**
---

Q)What should our general approach to processing children’s personal data be?　（こどもの個人データを処理する際の一般的なアプローチはどうあるべき？）

**Children need particular protection when you are collecting and processing their personal data because they may be less aware of the risks involved.**
**こどもは関与するリスクについての認識が低い可能性があるため、彼らの個人データを収集・処理する際には特別な保護が必要です。**

**If you process children’s personal data, or think that you might, then you should consider the need to protect them from the outset, and design your systems and processes with this in mind.**
**こどもの個人データを処理する場合、またはその可能性がある場合、最初から彼らを保護する必要性を考慮し、システムやプロセスをそのことを念頭に置いて設計するべきです。**

**Fairness, and compliance with the data protection principles, should be central to all your processing of children’s personal data.**
こどもの個人データ処理において、公正性とデータ保護原則の遵守が中心となるべきです。

**It is good practice to consider children’s views when designing your processing.**
処理を設計する際には、こどもの意見を考慮することが良い実践です。

Q) What do we need to consider when choosing a basis for processing children’s personal data?　（こどもの個人データを処理する根拠を選ぶ際に考慮すべきことは何？）

**As with adults, you need to have a lawful basis for processing a child’s personal data and you need to decide what that basis is before you start processing. You can use any of the lawful bases for processing set out in the UK GDPR when processing children’s personal data. But for some bases there are additional things you need to think about when your data subject is a child.**
**大人と同様に、こどもの個人データを処理するには合法的な根拠が必要であり、処理を開始する前にその根拠を決定する必要があります。こどもの個人データを処理する際には、UK GDPRに定められた任意の合法的な根拠を使用できます。ただし、データ主体がこどもの場合には、追加で考慮すべき点があります。**

**If you wish to rely upon consent as your lawful basis for processing, then you need to ensure that the child can understand what they are consenting to, otherwise the consent is not ‘informed’ and therefore is invalid. There are also some additional rules for online consent.**
**処理の合法的な根拠として同意を依存する場合、こどもが何に同意しているのかを理解できることを確認する必要があります。そうでない場合、同意は「インフォームド（情報提供を受けた）」とは見なされず、無効となります。オンライン同意に関しても追加のルールがあります。**

**If you wish to rely upon ‘performance of a contract’ as your lawful basis for processing, then you must consider the child’s competence to agree to the contract and to understand the implications of the processing.**
**処理の合法的な根拠として「契約の履行」に依存する場合、こどもが契約に同意し、処理の意味を理解する能力を考慮する必要があります。**

**If you wish to rely upon legitimate interests as your lawful basis for processing you must balance your own (or a third party’s) legitimate interests in processing the personal data against the interests and fundamental rights and freedoms of the child. This involves a judgement as to the nature and purpose of the processing and the potential risks it poses to children. It also requires you to take appropriate measures to safeguard against those risks.**
**処理の合法的な根拠として正当な利益に依存する場合、自分自身（または第三者）の個人データ処理の正当な利益と、こどもの利益および基本的な権利と自由とのバランスを取る必要があります。これには、処理の性質と目的、およびこどもに対する潜在的なリスクの判断が含まれます。また、それらのリスクに対して適切な保護措置を講じる必要があります。**
---

Q) What are the rules about an ISS and consent?　（ISSと同意に関するルールは何？）

**Consent is not the only basis for processing children’s personal data in the context of an ISS.**
**ISSの文脈では、同意はこどもの個人データを処理する唯一の根拠ではありません。**

**If you rely upon consent as your lawful basis for processing personal data when offering an ISS directly to children, in the UK only children aged 13 or over can consent for themselves. You therefore need to make reasonable efforts to verify that anyone giving their own consent in this context is old enough to do so.**
**ISSをこどもに直接提供する際に、合法的な根拠として同意を依存する場合、英国では13歳以上のこどものみが自ら同意を提供できます。そのため、この状況で自ら同意を提供する者が十分な年齢であることを確認するために合理的な努力を行う必要があります。**

**For children under this age you need to get consent from whoever holds parental responsibility for them - unless the ISS you offer is an online preventive or counselling service. You must make reasonable efforts (using available technology) to verify that the person giving consent does, in fact, hold parental responsibility for the child.**
**13歳未満のこどもには保護者の同意を得る必要があります。ただし、提供するISSがオンラインの予防またはカウンセリングサービスである場合を除きます。また、同意を提供する者が実際に保護者であることを確認するために、利用可能な技術を使用して合理的な努力を行う必要があります。**

**You should regularly review the steps you are taking to protect children’s personal data and consider whether you are able to implement more effective verification mechanisms when obtaining consent for processing.**
**こどもの個人データを保護するために取っている措置を定期的に見直し、処理の同意を得る際により効果的な確認メカニズムを導入できるかどうかを検討する必要があります。**
---

Q) What if we want to target children with marketing?（こどもを対象にマーケティングを行いたい場合はどうすればよいですか？）

**Children merit specific protection when you are using their personal data for marketing purposes. You should not exploit any lack of understanding or vulnerability.**
**こどもの個人データをマーケティング目的で使用する場合、特別な保護が必要です。理解不足や脆弱性を利用するべきではありません。**

**They have the same right as adults to object to you processing their personal data for direct marketing. So you must stop doing this if a child (or someone acting on their behalf) asks you to do so.**
**こどもは、大人と同様に、直接マーケティングのために自分の個人データを処理されることに異議を唱える権利を持っています。したがって、こども（またはその代理人）が要求した場合、処理を停止する必要があります。**

**If you wish to send electronic marketing messages to children then you also need to comply with the Privacy and Electronic Communications Regulations 2003.**
こどもに電子マーケティングメッセージを送信したい場合、2003年のプライバシーおよび電子通信規則を遵守する必要があります。
--

Q) What if we want to profile children or make automated decisions about them? (こどものプロファイリングや自動意思決定を行いたい場合はどうすればよいですか？)

**In most circumstances you should not make decisions about children that are based solely on automated processing, (including profiling) if these have a legal effect on the child, or similarly significantly affect them. If you do make such decisions you need to make sure that you put suitable measures in place to protect the rights, freedoms and legitimate interests of the child.**
**ほとんどの状況で、こどもに法的影響を与える場合や同様に重大な影響を与える場合には、プロファイリングを含む完全自動処理のみに基づいてこどもに関する決定を行うべきではありません。そのような決定を行う場合は、こどもの権利、自由、および正当な利益を保護するための適切な措置を講じる必要があります。**

**If you profile children then you must provide them with clear information about what you are doing with their personal data. You should not exploit any lack of understanding or vulnerability.**
**こどものプロファイリングを行う場合、彼らの個人データで何をしているのかについて明確な情報を提供しなければなりません。理解不足や脆弱性を利用するべきではありません。**

**You should generally avoid profiling children for marketing purposes. You must respect a child’s absolute right to object to profiling that is related to direct marketing, and stop doing this if they ask you to.**
**マーケティング目的でこどものプロファイリングを一般的に避けるべきです。直接マーケティングに関連するプロファイリングに対するこどもの絶対的な異議申し立ての権利を尊重し、こどもが要求した場合にはこれを停止しなければなりません。**

**It is possible for behavioural advertising to ‘similarly significantly affect’ a child. It depends on the nature of the choices and behaviour it seeks to influence.**
**行動広告がこどもに「同様に重大な影響を与える」可能性があります。それは、影響を与えようとする選択や行動の性質によります。**
---

Q) What about data-sharing and children’s personal data?
（こどもの個人データのデータ共有についてはどうですか？）

**If you want to share children’s personal data with third parties then you need to follow the advice in our data sharing Code of Practice. We also recommend that you do a DPIA.**
**こどもの個人データを第三者と共有したい場合、データ共有実践規範のアドバイスに従う必要があります。また、DPIA（データ保護影響評価）を行うことをお勧めします。**
---

Q) How do the exemptions apply to children’s personal data?
（こどもの個人データに対する例外規定はどのように適用されますか？）

**The exemptions apply to children’s personal data in the same way as they apply to adults’ personal data. They may allow you to process children’s personal data in ways that the UK GDPR would not otherwise allow. You need to consider and apply the specific provisions of the individual exemption.**
**例外規定は、こどもの個人データにも大人の個人データと同様に適用されます。これにより、通常はUK GDPRが許可しない方法でこどもの個人データを処理できる場合があります。個別の例外の具体的な規定を考慮して適用する必要があります。**
---

Q）How does the right to be informed apply to children?
（情報を提供される権利はこどもにどのように適用されますか？）

**You must provide children with the same information about what you do with their personal data as you give adults. It is good practice to also explain the risks inherent in the processing and the safeguards you have put in place.**
**こどもに対して、大人に提供するのと同じ情報を、彼らの個人データに対して行っていることについて提供する必要があります。処理に内在するリスクと講じた保護措置についても説明することが良い実践です。**

**You should write in a concise, clear and plain style for any information you are directing to children. It should be age-appropriate and presented in a way that appeals to a young audience.**
こども向けの情報は、簡潔で明確かつ平易なスタイルで書くべきです。それは年齢に適しており、若い読者に訴求する方法で提示されるべきです。
--

Q)What rights do children have?
(こどもにはどのような権利がありますか？)

**Children have the same rights as adults over their personal data which they can exercise as long as they are competent to do so. Where a child is not considered to be competent, an adult with parental responsibility may usually exercise the child’s data protection rights on their behalf.**
**こどもは、大人と同様に自分の個人データに対する権利を持っており、能力がある限りそれを行使できます。こどもが能力を持たないと見なされる場合、通常は保護者が代わりにこどものデータ保護権利を行使できます。**
--

Q)How does the right to erasure apply to children?
(削除の権利はこどもにどのように適用されますか？)

**Children have the same right to have their personal data erased as adults. This right is particularly relevant when an individual originally gave their consent to processing when they were a child, without being fully aware of the risks.**
**こどもは、大人と同様に自分の個人データを削除する権利を持っています。この権利は、個人がこどものときに処理に同意したが、そのリスクを十分に認識していなかった場合に特に関連性があります。**

**One of the specified circumstances in which the right to erasure applies is when you collected the personal data of a child under the lawful basis of consent, when offering an ISS directly to a child.**
**削除の権利が適用される特定の状況の一つは、ISSをこどもに直接提供する際に、合法的な根拠として同意に基づいてこどもの個人データを収集した場合です。**

**It should generally be as easy for a child to exercise their right to erasure as it was for them to provide their personal data in the first place.**
**こどもが最初に個人データを提供したときと同じくらい簡単に、削除の権利を行使できるようにするべきです。**
---

○Further reading　（追加の読み物）

**We have published detailed guidance on children and the UK GDPR.**
**こどもとUK GDPRに関する詳細なガイダンスを公開しています。**

---

ひとこと

以上、英国のこどもの情報のガイドラインを見てみました！

だいぶ、現在パブコメ中の日本の個人情報保護法のこどもに関する改正案と違いますね！

個人的には、日本の改正案の一律16歳未満は法定代理人への同意・通知より、英国のガイドの方が、個別のリスクをふまえている印象で、実務視点では、納得感がある印象です。

とはいえ、泣いても笑っても年内あと5ヶ月で、日本の改正法案は決まります、たぶん、おそらく、きっと。。

これからも、こどもの論点のゆくえ、注意深く、見守っていきたいと思います。

では、また！

---

親🐩に見守られてスマホで遊ぶ🇬🇧🐩

p.s.
SNS 少女たちの10日間

昨日、これを見ました。

SNSを通じて、未成年に大人が性的なアクセス、不法行為を行っていることを検証したチェコのドキュメンタリー。

日本ではまださほど騒がれていない印象ですが、正直、個人情報の問題より、こちらの問題の方が、深刻な問題なんじゃないかと思いました。。

SNS-少女たちの10日間- [DVD]

デジタル空間のこどもの性被害防止の観点って、どこかで検討しているのかな？

政府広報オンライン見ると、警察庁？

SNS利用による性被害等からこどもを守るにはhttps://t.co/pDQeSYfHjD

こども家庭庁の施策は、オンライン上での対策がなさそうに見えるなぁhttps://t.co/yhYRyOAI4Q pic.twitter.com/qKpvzFUC3x

— Ami (@Informationlaw1) July 26, 2024